пятница, 25 января 2013 г.

Дело Врублевского "слили" и "зачистили" в онлайне! ФСБ заметает следы в истории с DDoS-атакой на платежную систему "Ассист"


Генпрокуратура взяла таймаут по делу владельца Chronopay в связи с возможным фигурированием в деле нерассекреченных документов

Compromat.Ru
Павел Врублевский
Адвокат Людмила Айвар обратилась в Тушинский суд г. Москвы с заявлением о несовпадении номеров и дат документов, рассекреченных постановлением Центра информационной безопасности (ЦИБ) ФСБ России по делу Павла Врублевского и других обвиняемых в организации DDOS-атаки на веб-сайт компании "Ассист" в июле 2010 г., и документов, представленных суду сотрудником Генеральной прокуратуры РФ в качестве доказательства обвинения. По мнению защиты, все 10 справок из ЦИБ ФСБ, представленных суду Генпрокуратурой, имеют те же названия и количество листов, как и в постановлении о рассекречивании, но другие номера и даты. 

По версии обвинения, DDOS-атака на сервер платежной системы "Ассист" с 15 по 24 июля 2010 г. привела к блокированию проведения платежей через систему в интересах "Аэрофлота", Google и интернет-магазина Ozon. Следователи полагают, что ООО "Ассист" потеряло около 15 млн руб., ОАО "Аэрофлот" свыше 146 млн руб. Уголовное дело вызвало широкий публичный резонанс и освещалось во многих СМИ в России и за рубежом. 

По словам Людмилы Айвар, расхождения между датами и номерами документов были выявлены в ходе подготовки заявления в ФСБ России, УСБ ФСБ России и Генеральную прокуратуру с просьбой провести проверку по факту незаконного вмешательства в деятельность СМИ, а также разглашению тайны предварительного следствия в связи с публикациями в CNews. Журналист портала CNews Игорь Королев 1114 и 15 января 2013 г. опубликовал статьи о процессе, основываясь на оказавшихся в распоряжении редакции 5 томах уголовного дела Врублевского и подельников. Третья статья "Расследование: как владелец Chronopay пытался противостоять ФСБ" просуществовала на портале около часа, после чего исчезла, а через несколько часов вновь появилась с существенными правками. Из текста, пишет адвокат, исчезли ранее упоминавшиеся фамилии сотрудников спецслужб, появилась фраза о том, что "Врублевский информирует преступников об их попадании в поле зрения ФСБ", которой не было в первом варианте [...]. Поскольку оригинал статьи успел разойтись по сети, в настоящее время читателям доступны оба варианта текста. Данный факт уже привлек внимание сетевой общественности и популярных блоггеров в России и за рубежом. 

[ИА Regnum, 18.01.2013, "Адвокат владельца Chronopay просит ФСБ и прокуратуру проверить факт незаконного вмешательства в работу СМИ": При этом в статье появился комментарий от "источника CNEWS В ФСБ" и так же в отличие от первоначального варианта концовка статьи была изменена. Согласно заявлению Айвар, журналист сообщил ее доверителю, что у него нет источников в ФСБ и статью изменила редакция издания сразу после публикации. [...] 
Одновременно с этими событиями известный блогер "NTV", в том числе известный благодаря выкладыванию предположительно частной переписки блогера drigoi с супругой который привели к обвинению Другого в педофилии, выложил в сеть перепечатку одной из статей CNEWs по делу Врублевского, в том числе, проиллюстрировав ее "скриншотом" администраторской панели вирусной программы предположительно при помощи которой был атакован сайт "Ассиста". — Врезка К.ру] 

В своем заявлении Людмила Айвар также требует расследовать факты появления в блогах в России и за рубежом цветного скриншота, иллюстрирующего админ-панель ботнета из материалов дела, при том, что в документах процесса имеется и доступен защите только черной-белый вариант снимка, а цветной вариант в формате компьютерного файла был продемонстрирован в суде "под протокол", и в его копировании защите было отказано. "Появление в российских и зарубежных блогах этого и других скриншотов, к которым не имела доступа защита Павла Врублевского, свидетельствует о возможном разглашении сотрудниками ЦИБ ФСБ материалов уголовного дела, что является нарушением законодательства РФ," — заявила адвокат. 

Айвар сообщила, что сторона обвинения взяла недельный таймаут для разбирательства. Между тем сам Врублевский свою вину в деле не признает. Ранее Врублевский заявлял, что в деле не проводилось технической, бухгалтерской и вообще какой-либо экспертизы по оценке ущерба и экспертизы того, что именно случилось в июле 2010 года в компании "Ассист"

***
© CNews.ru, 11.01.2013

Расследование: как "Касперский" спасал "Аэрофлот" от хакерских атак

Игорь Королев 

Летом 2010 г. платежная система «Ассист» подверглась серьезной DDOS-атаке мощностью до 7 Гбит/с, из-за чего в течение недели была недоступна возможность приобретения электронных билетов на сайте «Аэрофлота». «Ассист» обращался за помощью к «Лаборатории Касперского», но ее фильтры не смогли остановить атаку. Правда, в «Лаборатории» ответственность за это перекладывают на сам «Ассист». 

В распоряжении CNews оказались 5 томов уголовного дела владельца платежной системы Chronopay Павла Врублевского. ФСБ обвиняет предпринимателя в заказе DDOS-атаки на сервер конкурирующей системы «Ассист», в результате чего летом 2010 г. несколько дней была парализована возможность покупки билетов на сайте «Аэрофлота». В ходе допросов выяснилось, что потерпевшие стороны имеют различный взгляд на причины того, почему атака оказалась успешной. 

Сама атака началась в четверг, 15 июля. Целью атакующих были платежные шлюзы «Ассиста», использующиеся для проведения платежей в интересах «Аэрофлота», Google и интернет-магазина Ozon. При этом основной целью атакующих был именно «Аэрофлот». Обработку платежей для авиакомпании осуществлял банк ВТБ-24 и принадлежащий ему процессинговый центр «Мультикарта». 

Зайдя на сайт «Аэрофлота» и выбрав нужный рейс, пользователь получал подтверждение бронирования билета от международной системы Sabre. Затем клиента переводили на сайт платежной системы «Ассист» (была субподрядчиком «Мультикарты»). Введенные пользователями данные о картах Visa и Mastercard передавались для авторизации в «Мультикарту», авторизацию по картам American Express «Ассист» проводил самостоятельно. В случае успешного прохождения этой процедуры «Мультикарта» передавала соответствующее сообщение в Sabre для выписывания электронного билета.

Версия "Ассиста": "Касперский" не справился, обратились в ТТК

До 17 июля «Ассист» справлялся с отражением атаки своими силами, рассказал на допросе технический директор компании Денис Курнаков. Затем мощность атаки была увеличена до 860 Мбит/с. «Ассист» предложил вариант со сменой адресов, использующихся для атаки на «Аэрофлот», но Sabre отказался быстро выполнить эту процедуру. Когда же адрес был изменен, это лишь на время позволило восстановить работоспособность — до смены вектора атаки. Затем адрес был изменен повторно, на что хакеры также ответили сменой вектора атаки. 

19 июля, в понедельник, «Ассист» обратился за помощью к «Лаборатории Касперского» (ЛК) для осуществления фильтрации «паразитного» трафика с помощью разработанного этой компанией программного обеспечения Kaspersky Ddos Prevention. В письме, направленной в ЛК гендиректором «Ассист» Геннадием Спириным, гарантировалась оплата услуг антивирусной компании в соответствие с прайс-листом (200 тыс. руб.), а также выражалась готовность в случае успешного отражения атаки заключить на будущее соответствующий договор. 

Вечером в понедельник атака стихла. Однако Sabre не мог добиться получения регулярного подтверждения платежа, из-за чего сами билеты не выпускались. В связи с этим «Аэрофлот» и Sabre приняли решение до переключения на «секретный» сервер получения результатов остановить прием платежей. 

20 июля было произведено переключение на «секретный сервер», платежи были возобновлены. Однако на следующий день характер атаки резко изменился и фильтры «Касперского» перестали справляться, говорит Курнаков. Тогда было принято решение задействовать второй канал фильтрации — от «Транстелекома» (ТТК). Мощность атаки к тому моменту достигла 7 Гбит/с. По информации от «Транстелекома», в отдельных местах не справлялось оборудование канальных провайдеров и его приходилось перенастраивать. 

Далее вся фильтрация была переведена на «Транстелеком», и к полудню 22 июля атака стихла. На следующий день атака возобновилась, но к тому моменту ЛК перенастроила свои фильтры под данную атаку, и ночью 24 июля работу удалось восстановить. Правда, затем характер атаки снова был изменен, и ЛК, по утверждению Курнакова, вновь перестала справляться с ее отражением. Завершилась атака 26 июля.

Версия "Касперского": "Ассист" использовал устаревшие сервера и ПО

В ЛК не согласны с тем, что их ПО не справилось с фильтрацией «паразитного» трафика. Менеджер проектов компании Михаил Савельев уверяет в своих показаниях, что компания смогла добиться фильтрации «паразитного» трафика на уровне 94-99%, а проблемы возникали с производительностью и настройкой оборудования «Ассиста». Сам «Ассист» обратился к ЛК лишь утром 19 июля, но в течение нескольких часов сотрудники платежной системы не могли предоставить антивирусным специалистам информацию о внутренней структуре сети и осуществить необходимые настройки на их стороне (в частности, построить GRE-тунели для перенаправления очищенного трафика). В 15:00 того же дня, «после многочисленных просьб со стороны ЛК», «Ассист» предоставил сотрудникам антивирусной компании доступ на управление его оборудованием, и они самостоятельно его настроили. К 16:00 необходимые настройки были осуществлены, и специалисты ЛК стали анализировать трафик, поступающий на сервер «Ассист». К 20:00 были выработаны оптимальные критерии настройки, и работоспособность приема платежей на сайте «Аэрофлота» была практически восстановлена. 

Однако в ночь на 20 июля опять начались проблемы. Как утверждает Савельев (здесь и далее цитаты по его показаниям), сотрудники «Ассиста» перезагрузили оборудование, настроенное специалистами ЛК, в результате чего была нарушена связь между компонентами системы очистки и серверами платежной системы. К 8 утра работоспособность оборудования силами ЛК была восстановлена, однако от «Ассиста» все равно продолжили приходить жалобы на проблемы с платежными серверами. 

Весь вторник ушел у специалистов ЛК на выяснение причин такого поведения. Ситуация была странной, ведь, по данным антивирусной компании, после фильтрации до «Ассиста» доходил лишь 1% от входящего трафика, составлявшего на тот момент 168 Мбит/с. 

«С большим трудом нам удалось выяснить, что ПО платежного шлюза работает на непроизводительной аппаратной базе и под управлением устаревшей версии операционной системы, — говорит Савельев. — С нашей стороны поступило предложение перевести весь фильтруемый трафик на площадку, где стоит более мощное оборудование, но оно игнорировалось под предлогом необходимости разобраться в текущей ситуации (хотя представители «Ассиста» сами сообщили о наличие такой площадки)». 

По словам Савельева, работу осложняло и то обстоятельство, что от специалистов «Ассиста» в адрес сотрудников ЛК поступала неверная информация (о маршрутизации, конфигурации сервера и его работоспособности, о настроенных правилах фильтрации и т.п.). Также администраторы «Ассиста» не были готовы выполнить какие-либо операции на собственном оборудовании, что приводило к необходимости запрашивать доступ и осуществлять все настройки силами сотрудников ЛК.

Динамичные хакеры: как менялся тип атаки

Отражению атаки мешали и постоянные смены хакерами ее типа. Изначально тип атаки был «syn-flood» (использует особенности протокола TCP/IP). После начала фильтрации вечером 19 июля произошла первая смена типа атаки: теперь хакеры использовали атаку «https flood», во время которой атакующие компьютеры («боты») устанавливали защищенное соединение по порту «443» и забрасывали сервер «мусорными данными». 

Вечером во вторник, 20 июля, работоспособность системы была восстановлена и уровень фильтрации достигал 40%, отмечает представитель ЛК. В связи с этим хакеры вновь поменяли тип атаки: теперь использовалась атака «Low rate HTTPS flood». Число «ботов», забрасывающих «мусором» порт «443», резко возросло, в то же время они снизили частоту запросов и по своим статистическим характеристиками сравнялись с трафиком легитимных пользователей. 

Специалисты ЛК разработали новую методику отражения атаки и применили ее в своих фильтрах, но затем ЛК на несколько часов потеряла доступ к оборудованию «Ассиста». В ночь на 21 июля работоспособность платежной системы была восстановлена, но вскоре типа атаки опять сменился: хакеры вернулись к «syn-flood». Атака прекратилась 22 июля (ровно через неделю после ее начала), а возобновилась с 23 на 24 июля, но ЛК смогла ее отразить, уверяет Савельев. 

Сразу по окончанию атаки «Аэрофлот» разорвал контракт с ВТБ-24 и потребовал от банка компенсировать ущерб в размере 194 млн руб. (в конце прошлого года суд отверг соответствующий иск). «Ассист», в свою очередь, обратился с заявлением в ФСБ. Следствие установило, что заказчиком атаки был Павел Врублевский, исполнителями — братья Игорь и Дмитрий Артимовичи. [...] 

[CNews.ru, 28.11.12, "Основатель Chronopay требует 146 млн руб. с "Лаборатории Касперского": Основатель и владелец платежной системы Chronopay Павел Врублевский подал иск в Хорошевский районный суд Москвы к "Лаборатории Касперского" (ЛК). Причиной иска стали публикации на принадлежащем ЛК блоге Securelist.com о ходе расследования DDos-атаки на сайт "Аэрофлота" (Врублевский проходит по данному уголовному делу в качестве обвиняемого). Копия искового заявления имеется в распоряжении CNews. 
Владельцу Chronopay не понравилось, что авторы публикаций еще до решения суда называют его виновным в организации DDos-атаки и говорят о его криминальном прошлом. А в одной из публикаций высказывается предположение, что, как и в ходе неких предыдущих уголовных дел в отношении Врублевскому, владельцу Chronopay удастся уйти от ответственности. Врублевский утверждает, что ранее никаких дел в отношении него не заводилось. 
Основатель Chronopay считает, что такие высказывания наносят ущерб его деловой репутации и являются попыткой оказать давление на ход процесса в Тушинском суде, где рассматривается его дело. В связи с этим Врублевский требует от ЛК опровержения вышеназванных публикаций и возмещения ущерба в размере 146 млн руб. В такую сумму истец оценивает упущенную выгоду, которая понесла компания из-за публикаций на Securelist.com. — Врезка К.ру]

***
© CNews.ru, 14.01.2013, Фото: cskabasket.com

Расследование: как ФСБ ловит хакеров

Игорь Королев 

У ФСБ имеются «оперативные возможности» в платежной системе Webmoney, благодаря которым следствие раскрыло DDOS-атаку против «Аэрофлота». Узнав, на какие WM-кошельки переводились деньги за атаку, следствие выявило их владельцев, определило IP-адреса, проанализировало трафик и, таким образом, вышло на панель управления бот-сети. 

CNews продолжает публикацию материалов уголовного дела владельца платежной системы Chronopay Павла Врублевского, которого ФСБ обвиняет в заказе DDOS-атаки на сервер конкурирующей системы — «Ассист» — с целью заблокировать возможность покупки электронных билетов на сайте «Аэрофлота». Секретность с материалов дела была снята постановлением заместителя руководителя оперативного управления 18 центра ФСБ А. Лютиковым. DDOS-атака проходила в период с 15 по 24 июля 2010 г, после чего «Ассист» обратился с заявлением в управление ФСБ по Санкт-Петербургу и Ленинградской области. 

В поле зрения оперативников сразу попал кошелек в платежной системе Webmoney (WM), используемый человеком под псевдонимом Engel, следуют из материалов дела. Также в распоряжении следствия оказалась электронная переписка сотрудников Chronopay (финансистов Максима Андреева и Натальи Клюевой со специалистами по безопасности Максимом Пермяковым и Станиславом Мальцевым), согласно которой в дни атаки ежедневно на указанный кошелек должно было переводиться по $500 с целью «PR и конкурентной борьбы». Чуть ранее на этот же кошелек из Chronopay было переведено еще $10 тыс. за создание «фармацевтического проекта».

Ниточка в Webmoney

В ФСБ заподозрили, что атаку осуществлял Engel по заказу Врублевского. С помощью «оперативных возможностей» в системе Webmoney было установлено, что упомянутый выше кошелек относится к WM-идентификатору, зарегистрированному на уроженца Ленинградской области Игоря Артимовича. Следствие получило доступ к журналу входов в систему за последние несколько месяцев, узнав таким образом IP-адрес Артимовича. 

Далее ФСБ обнаружило и остальные WM-идентификаторы, зарегистрированные на Артимовича (через год соответствующие документы были официально изъяты в ходе обысков в офисе Webmoney). Журнал транзакций подтвердил получение Артимовичем в дни атаки на «Ассист» денежных средств на общую сумму $20 тыс. Согласно перехваченной переписке сотрудников Chronopay. кошелек, с которого приходили деньги, принадлежал этой компании. 

Сделав запрос провайдеру, которому принадлежал упомянутый выше IP-адрес — «Национальные кабельные сети» (бренд Onlime) — ФСБ установило, что адрес зарегистрирован на брата Игоря Артимовича Дмитрия (через год копия договора была изъята в ходе обысков у провайдера). На тот момент они вместе снимали квартиру в Москве. После этого следствие приняло решение провести оперативно-розыскные мероприятия (ОРМ) в отношении используемых братьями Артимовичами интернет-каналов (от Onlime и «Скай Линк»), прослушивание их стационарного и мобильных телефонов (от «Вымпелкома», МТС и «Мегафона»), а также чтение электронной почты в домене artimovich.info. У Артимовичей было еще несколько ящиков на Mail.ru, но их заблокировала администрация. Кроме того, управление ФСБ по Санкт-Петербургу получило доступ к журналам посещения страницы Игоря Артимовича в сети «Вконтакте». 

Отметим, что к концу лета Артимовичи выпали из поля зрения ФСБ, но на помощь следствию вновь пришла Webmoney. «Оперативные возможности» в этой системе позволили обнаружить их новые кошельки, а вместе с этим новые адреса электронной почты и номера мобильных телефонов, которые они пополняли (сами телефоны были зарегистрированы на подставных лиц). Выявлены были и новые IP-адреса: на этот раз Артимовичи заходили на Webmoney через мобильные сети «Скай Линк» и «Скартел» (бренд Yota). Впрочем, вскоре братья вновь исчезли. Управление «Т» ФСБ, взяв на контроль приобретение ими железнодорожных и авиабилетов, сообщило об отъезде Артимовичей в Киев. Весной 2011 г. это же управление обнаружило их возвращение в Санкт-Петербург.

"За нами следит ФСБ. Уходим в Jabber"

Имея возможность отслеживания интернет-трафика, ФСБ смогло прочитать ICQ-переписку Артимовичей с неустановленными собеседниками. Один из них прислал ссылку на статью в Gazeta.ru о начале Единой баскетбольной лиги ВТБ. Собеседник указал на фото с соответствующей пресс-конференции: «Второй слева — я. О***нный баскетболист, правда?». 

Compromat.Ru

Вторым слева на фотографии был Павел Врублевский. Рядом с ним сидел тогдашний вице-премьер и нынешний глава администрации президента Сергей Иванов. Далее неизвестный собеседник послал ссылку на пресс-релиз Chronopay со словами «наш релиз на тему». На вопрос Артимовича, является ли такого рода спонсорство рекламой Chronopay, собеседник дал следующий ответ: «Официально — да. Неофициально — посмотри биографию Сергея Борисовича Иванова и ответы начнут прорисовываться». 

Также собеседники обсуждали продажу наркотических средств («контролов»), регистрацию нескольких десятков соответствующих доменов в зоне .Ru, оформление серверов на некоего Андрея Богданова и работу на форуме Spamdot (используется спамерами, торгующими за рубежом фармацевтикой). Анализ контакт-листа Артимовичей в ICQ показал, что они часто общаются с людьми, находящимися в поле зрения правоохранительных органов из-за распространения вредоносных программ. Но главное, на что обратило внимание следствие, это обнаружение подозреваемыми слежки. Собеседники обсуждали необходимость шифрования почты и жестких дисков, а также переход на новую версию ICQ с целью установки модуля шифрования Simp. 

Собеседники заподозрили, что ФСБ пыталось устроить подставную встречу с неким Хохолковым — подельником известного распространителя спама и вирусов Леонида Куваева, осужденного в настоящий момент на длительный тюремный срок за педофилию. Обсуждался также вопрос с переездом Артимовичей и съем квартиры на чужой паспорт. На вопрос одного из братьев «А что ты очкуешь взять нам квартиру» неизвестный собеседник дает откровенный ответ: «Я что по-твоему совсем с головой не дружу? На вас ФСБ охотится!». Далее разговор предлагается перевести в систему Jabber. 

Впрочем, личность собеседника следствие так и не установило. Сам Врублевский заявил CNews, что он не вел указанных переговоров. Предприниматель также добавил, что он не понимает, для чего в его дело была включена данная переписка. ОРМ в отношение Врублевского вообще результатов не дали: как отмечается в материалах дела, по телефону он общался только на бытовые темы.

Как ФСБ ищет пароли

Еще одним шагом следствия стал анализ интернет-трафика Артимовичей, для этого использовались программы Ufasoft Sniffer и WireShark (анализируют трафик в формате TCPDump). Таким образом были обнаружены факты установления защищенного соединения с двумя IP-адресами, принадлежащими американскому хостинг-провайдеру LayeredTech. На указанных адресах находилось приглашение для входа в панель управления программного обеспечения Topol-Mailer. Путем контекстного поиска в журналах трафика по слову «password» были найдены строки с логином и паролем, которые успешно подошли для входа в обе панели. 

По мнению следствия, это были бот-сети с функциями прокси-серверов, позволяющие осуществлять крупномасштабные спам-рассылки и DDOS-атаки нескольких видов (UDP-Flood, TCP-Flood и HTTP-Get). На момент захода следователей в августе 2010 г. обе бот-сети вместе насчитывали 20 тыс. зараженных компьютеров. Панель управления позволяла просмотреть статистику заражений с географическим распределением и информацию о «поставщиках» зараженных компьютеров, загружать образцы используемой вредоносной программы для конкретных поставщиков и ввести адреса для осуществления DDOS-атаки. 

В числе адресов «жертв» бот-сети, согласно данным соответствующего раздела, были следующие фармацевтические ресурсы: 4allforum.com, accessbestpharmacy.com, canadian-rxonline.com, naturalviagraonline.com, glavmed.com, spamit.com, stimul-cash.com, yout-pills-online.com, ehost.by, spampeople.net, spamdot.us. Сами Артимовичи регулярно осуществляли спам-рассылки с рекламой фармацевтических препаратов с адресов в системе «Рамблер». Это навело следствие на мысль, что они атаковали своих конкурентов. Часть из атакованных ресурсов, как считается, принадлежит бывшему акционеру Chronopay Игорю Гусеву (известен своим конфликтом с Врублевским). 

Полученные материалы были переданы эксперту компании Group-IB для проведения экспертизы. Он осуществил выход на исследуемый ресурс через сервис виртуальных частных сетей CryptoCloud с иностранных IP-адресов. Проведя анализ ресурсов, он подтвердил выводы следствия о том, что речь идет о панели управления бот-сетью. Также специалист обратил внимание, что в дни атаки на «Ассист» число зараженных компьютеров резко возросло (до 250 тыс.). Сравнив со списком 25 тыс. адресов, участвовавших в атаке на «Ассист», эксперт обнаружил, что треть из этих адресов присутствует в списке заражений бот-сети Артимовичей. 

Специалист Group-IB провел также и исследование вредоносной программы, загруженной из бот-сети. Антивирус Eset NOD32 определил эту программу как Win32/Rootkit.Agent.NRD trojan, «Антивирус Касперского» — как Rootkit.Win32.Tent.btt. С использованием программы-отладчика OllyDbg и дизассемблера IDA Pro 8.0 (позволяет получить код программы на языке низшего уровня) эксперт установил, что данная программа без участия пользователя записывает в операционную систему драйвер для проведения DDOS-атак. Для получения команд драйвер периодически обращается к сетевым адресам, совпадающим с адресами бот-сети Артимовичей. 

Впрочем, адреса «Ассист» в списке атакуемых адресов не было. Но каких-либо ограничений, не позволяющих осуществить DDOS-атаку на эту платежную систему с данной бот-сети, тоже нет. Поэтому специалист Group-IB пришел к выводу, что она могла использоваться для расследуемой атаки. На основании результатов исследования Group-IB «оперативные источники из вирмейкерской среды» также подтвердили следствию этот вывод. 

Также следствие зафиксировало обращения к другому американскому хостинг-провайдеру — DCSManage, где Артимовичи в зашифрованном виде (с помощью программы программной PGP Desktop) хранила Topol-Mailer, программу для осуществления спам-рассылок и базу данных почтовых адресов объемом 40 ГБ. Анализ остального интернет-трафика Артимовичей показал, что они осуществляли заход под аккаунтом администратора на форум спамеров Spamplanet.com, а также искали в «Яндексе» информацию по запросу «путин аэрофлот». 

Врублевский считает, что техническая экспертиза DDOS-атаки на "Ассист" так и не была проведена. "В деле присутствует исследование только панели управления некой бот-сети, но следов атаки на "Ассист" там нет, — отмечает предприниматель. — Частичное совпадение IP-адресов, зараженных этой бот-сетью с IP-адресами, с которых осуществлялась атака, не является доказательством. Один и тот же компьютер может быть заражен несколькими вирусами. Некоторое время хакеры даже проводят соревнования, удаляя с зараженных компьютеров вирусы конкурентов". [...]

***

Как правили "слив" на CNews.ru

© irek_murtazin, 16.01.2013, Как спалился ntv… И кто заказал Адагамова? 

Спалился ntv как-то уж очень по-мальчишески наивно. На ерунде. Погорел, решив рекламнуть работу ФСБ. Сам бы я, конечно, едва ли прочитал это пост, но нашлись люди, скинули ссылку. Потому как знали, что я почти полгода собирал информацию о Павле Врублевском. Итогом этой работы стала вот эта вот публикация

Похоже, что уголовное дело в отношении Врублевского и К трещит по швам, вот и решили слить материалы уголовного дела.[...] 

Одного не учел ntv. У материала, который он выложил в своем журнале и дал ссылку на первоисточник, было продолжение. И с продолжением этим вышла неувязочка. Когда текст в первый раз появился на сайте cnews.ru, он провисел меньше часа. И был удален. А через час снова появился на сайте. Но с очень серьезными цензурными правками. 

Цензоры в погонах не забыли про такую элементарную вещь, что материалы, удаленные с сайтов, вполне себе преспокойно хранятся в кэше. Вот оригинал материала «Расследование: как владелец Chronopay пытался противостоять ФСБ», сохранившийся в кэше и выложенный на другом сайте. А вот тот же материал уже после цензурной правки. Сравним несколько моментов: 

до правки
после правки
Еще один "сюрприз" ждал следствие 22 июня 2011 г., когда после задержания Павла Врублевского в его кабинете в Большом Палашевском переулке был проведен обыск. Среди прочего на рабочем столе секретаря владельца Chronopay Елены Фимановой был найден лист со следующей рукописной записью: "Слили нас в ФСБ ЦИБ ФСБ Сергей Михайлов". Речь идет о начальнике второго оперативного управления Центра информационной безопасности (ЦИБ) ФСБ.
Еще один «сюрприз» ждал следствие 22 июня 2011 г., когда после задержания Павла Врублевского в его кабинете в Большом Палашевском переулке был проведен обыск. Среди прочего на рабочем столе секретаря владельца Chronopay Елены Фимановой был найден лист со следующей рукописной записью:«Слили нас в ФСБ ЦИБ...».
Тем не менее с Михайловым главный обвиняемый по делу "Аэрофлота" все-таки был знаком. Это знакомство состоялось в 2007 г. в офисе Chronopay, который тогда находился в районе м. "Киевская". Встречу Михайлова и Врублевского организовал оперативник 2 управления ЦИБ ФСБ Александр Алмакаев (сейчас он работает в службе безопасности компании Mail.ru Group).
Согласно показаниям Алмакаева, на встрече Врублевский признался, что он управляет вышеупомянутым интернет-банком Fiethard Finance. При этом предприниматель якобы просил сотрудников ФСБ помочь разобраться с хищением в этом банке $5 млн. Поскольку "к данному факту преступного деяния причастны сотрудники МВД России", Михайлов поручил Алмакаеву подготовить соответствующее письмо на имя руководителя Управления собственной безопасности ФСБ. Это письмо было отдано руководителю ЦИБ ФСБ А. Герасимову, но никаких мер принято не было.
Врублевский отрицает свою связь с Fiethard Finance. Но факт встречи с Михайловым и обращения к нему за помощью он подтверждает. "У нас из сейфа были украдены Digipass (электронные ключи) для доступа к счетам в офшорах, - пояснил предприниматель. - Без них мы длительное время не могли заблокировать счета, и злоумышленники воспользовались этим, украв у нас крупную сумму денег".
Тем не менее, с руководством ЦИБ главный обвиняемый по делу «Аэрофлота» все-таки был знаком. Это знакомство состоялось в 2007 г. в офисе Chronopay, который тогда находился в районе м. Киевская. Встречу представителя ЦИБ и Врублевского организовал оперативник 2 управления ЦИБ ФСБ.
Согласно его показаниям, на встрече Врублевский признался, что он управляет вышеупомянутым интернет-банком Fiethard Finance. При этом предприниматель якобы просил сотрудников ФСБ помочь разобраться с хищением в этом банке $5 млн.
Врублевский отрицает свою связь с Fiethard Finance. Но факт встречи с представителем ЦИБ и обращения к центру за помощью он подтверждает. «У нас из сейфа были украдены Digipass (электронные ключи) для доступа к счетам в офшорах, - пояснил предприниматель CNews. - Без них мы длительное время не могли заблокировать счета, и злоумышленники воспользовались этим, украв у нас крупную сумму денег».
По словам источника CNews в ФСБ, встречи с Врублевским прекратились после того, как в спецслужбу стала поступать регулярная информация о том, что Врублевский информирует преступников об их попадании в поле зрения ФСБ.

Феерична фраза, добавленная в новую редакцию публикации: «По словам источника CNews в ФСБ, встречи с Врублевским прекратились после того, как в спецслужбу стала поступать регулярная информация о том, что Врублевский информирует преступников об их попадании в поле зрения ФСБ». 

Обратил внимание на эти публикации и Врублевский, от души оттоптавщись в своем ЖЖ на проколе сотрудников ЦИБ ФСБ России (чтобы пресечь обвинения, что это сам Врублевский и подбросил мне эту информацию и заказал пост, плесну ка дегтя в его адрес: лично у меня нет сомнений, что Врублевский, (как, видимо, и ntv ) сотрудничает с ФСБ. Только не с ЦИБом (в отличии, по-видимости, от ntv), а с управлением К). Но это их личное дело. 

Пост ntv во славу ЦИБ ФСБ, на котором он так глупо прокололся, наводит на размышления. Прежде всего возникает вопрос: а как еще ЦИБ мог использовать ntv? Полистал его журнал и нашел пост с информационной поддержкой распространения «переписки» Рустама Адагамова с экс-супругой. Вот я и думаю, а не в ЦИБе ли изготовили эту переписку?

***

"Слили нас в ФСБ ЦИБ ФСБ Сергей Михайлов"

Текст статьи CNews.ru до правки

© CNews.ru, 15.01.2013 via it.tut.by

Как владелец Chronopay пытался противостоять ФСБ России

Игорь Королев 

В ходе расследования дела о DDOS-атаке на "Аэрофлот" ФСБ заподозрило, что главный обвиняемый — владелец платежной системы Chronopay Павел Врублевский — сам пытается через "коррумпированных сотрудников МВД" установить слежку за оперативниками и помогавшими им специалистами компании Group-IB. В ходе обысков у предпринимателя были изъяты документы о внутренней структуре ФСБ. 

CNews продолжает публикацию материалов уголовного дела владельца платежной системы Chronopay Павла Врублевского, которого ФСБ обвиняет в заказе DDOS-атаки на сервер конкурента — "Ассист". В результате атаки в июле 2010 г. в течение недели не была доступна возможность покупки электронных билетов на сайте "Аэрофлота". Напомним, секретность с материалов дела была снята постановлением заместителя руководителя оперативного управления 18 центра ФСБ А. Лютиковым. 

В начале расследования в распоряжении ФСБ оказалась переписка сотрудников Chronopay, в которой говорилось о необходимости переводить в дни атаки по $500 на электронной кошелек в системе Webmoney, зарегистрированный на некоего Engel. Через "оперативные возможности" в Webmoney удалось выяснить, что владельцем кошелька является петербургский программист Игорь Артимович, на тот момент проживавший вместе с братом Дмитрием на съемной квартире в Москве. С помощью журнала входа в аккаунт на Webmoney был выявлен их IP-адрес, а через провайдера — адрес проживания. 

В отношении братьев Артимовичей и Врублевского начался комплекс оперативно-розыскных мероприятий (ОРМ), включавший в себя прослушивания телефонов и мониторинг интернет-трафика. Однако достаточно быстро подозреваемые обнаружили "слежку". Так, в ходе перехваченной ICQ-переписки одного из Артимовичей с лицом, похожим на Врублевского, неизвестный собеседник прямо предупреждал братьев об интересе к ним со стороны ФСБ. Сам Врублевский по открытым каналам связи общался только на бытовые темы.

"Учитывая многочисленные коррумпированные связи Врублевского в МВД..."

ФСБ получило сенсационные данные об ответных действиях владельца Chronopay. Цитата по материалам дела: "16 августа 2010 г. получена агентурная информация о намерениях П. Врублевского провести через коррумпированных сотрудников МВД России нелегальные ОРМ в отношении действующих сотрудников ФСБ России и их оперативных источников (из компании Group-IB), привлеченных к расследованию указанной компьютерной атаки. По данному факту незамедлительно проинформировано 9 Управление ФСБ России"

Напомним, что Group-IB по просьбе ФСБ провело экспертизу сайта, на который заходили с IP-адреса Артимовичей. Эксперты подтвердили выводы следствия, что это — панель управления бот-сети вируса Topol-Mailer, с помощью которого могла быть устроена DDOS-атака на "Ассист". Получила ли история с "нелегальным ОРМ" какое-либо продолжение и удалось ли вообще Врублевскому устроить слежку, в материалах дела не говорится. 

Однако решение о проведении следственных действий в Следственном управление ФСБ было принято на следующем основании (цитата по материалам дела): "Факт наличия многочисленных коррумпированных связей Врублевского в следственных органах МВД России (среди сотрудников СК при МВД России и ГСУ при ГУВД России по г. Москве), благодаря которым он неоднократно инициировал приостановление производства уголовного дела, возбужденного в отношении его компании". О каком деле идет речь, не уточняется. 

Сам Врублевский отвергает обвинения в наличии у него подобного рода связей в правоохранительных органах. Он также добавил, что ранее в отношении него никаких уголовных дел не возбуждалось. Предприниматель лишь проходил в качестве свидетеля по делу о нелегальной банковской деятельности, возбужденному в отношении закрывшегося в 2007 г. анонимного интернет-банка Fiethard Finance.

Кто "слил" Врублевского в ФСБ

Еще один "сюрприз" ждал следствие 22 июня 2011 г., когда после задержания Павла Врублевского в его кабинете в Большом Палашевском переулке был проведен обыск. Среди прочего на рабочем столе секретаря владельца Chronopay Елены Фимановой был найден лист со следующей рукописной записью:"Слили нас в ФСБ ЦИБ ФСБ Сергей Михайлов". Речь идет о начальнике второго оперативного управления Центра информационной безопасности (ЦИБ) ФСБ. 

Впоследствии Фиманова пояснила на допросе, что нашла эту бумагу в кабинете шефа и убрала ее в ожидании дальнейших указаний. Были найдены и два других любопытных документа, озаглавленные как "Структура ФСБ Центральный аппарат" и "О связях сотрудника ЦИБ ФСБ РФ С. Михайлова". Также были найдены тексты писем Владимиру Путину и генпрокурору Юрию Чайке, материалы по ряду авиакомпаний, включая "Аэрофлот", и англоязычный документ по уголовному делу экс-совладельца Chronopay Игоря Гусева (известен своим конфликтом с Врублевским). 

Врублевский наличие у него записок и документов о ФСБ и Сергее Михайлове отрицает. "Я попросил следствие вернуть мне эти бумаги, — сообщил предприниматель. — По закону, документы, изъятые в ходе обыска, должны быть либо возвращены, либо продемонстрированы суду. Но ни того, ни другого сделано не было"

Тем не менее с Михайловым главный обвиняемый по делу "Аэрофлота" все-таки был знаком. Это знакомство состоялось в 2007 г. в офисе Chronopay, который тогда находился в районе м. "Киевская". Встречу Михайлова и Врублевского организовал оперативник 2 управления ЦИБ ФСБ Александр Алмакаев (сейчас он работает в службе безопасности компании Mail.ru Group). 

Согласно показаниям Алмакаева, на встрече Врублевский признался, что он управляет вышеупомянутым интернет-банком Fiethard Finance. При этом предприниматель якобы просил сотрудников ФСБ помочь разобраться с хищением в этом банке $5 млн. Поскольку "к данному факту преступного деяния причастны сотрудники МВД России", Михайлов поручил Алмакаеву подготовить соответствующее письмо на имя руководителя Управления собственной безопасности ФСБ. Это письмо было отдано руководителю ЦИБ ФСБ А. Герасимову, но никаких мер принято не было. 

Врублевский отрицает свою связь с Fiethard Finance. Но факт встречи с Михайловым и обращения к нему за помощью он подтверждает. "У нас из сейфа были украдены Digipass (электронные ключи) для доступа к счетам в офшорах, — пояснил предприниматель. — Без них мы длительное время не могли заблокировать счета, и злоумышленники воспользовались этим, украв у нас крупную сумму денег".

Чекисты на вечеринке веб-мастеров

Впрочем, общение Врублевского с оперативниками ЦИБ ФСБ продолжилось. Так, летом 2009 г. Алмакаев "с разрешения Михайлова" посетил вечеринку веб-мастеров. На ней он неожиданно встретил своего коллегу Максима Пермякова. На удивленный вопрос Алмакаева: "Что ты тут делаешь?" — Пермяков ответил: "Меня пригласил друг". В этот момент к ним подошел Врублевский и, узнав, что Пермяков тоже работает в ФСБ, очень заинтересовался им. 

Пермяков в своих показаниях рассказал, что тем летом он зарегистрировался на форуме Crutop, где общаются веб-мастера сайтов с порнографией, продажей фармацевтики, распространители спама и т.д. Затем его пригласили на вечеринку, проводимую этим форумом в ресторане "Пространство воздуха" в районе м. "Лужники". Вход на мероприятие осуществлялся по нику на Crutop. 

Там он увидел Алмакаева и Врублевского, причем последний якобы использовал на форуме ник Redeye. Пермяков заверил Врублевского, что он здесь не по работе, а исключительно ради отдыха. Через несколько месяцев владелец Chronopay позвонил Пермякову и предложил встретиться, причем его номер телефона Врублевскому дал Алмакаев. Далее Пермяков принял предложение Врублевского перейти к нему на работу в отдел информационной безопасности. Согласно служебной характеристике Пермякова из ФСБ, в последний год службы он высказывал недовольство тем, что в коммерческих структурах люди получают в 5-7 раз больше, чем на госслужбе. 

Врублевский подтверждает факт участия в той вечеринке веб-мастеров, однако отрицает свою связь с Crutop и ником Redeye. Согласно показаниям Алмакаева, летом 2011 г. Врублевский связался с ним по Skype, сообщил об аресте "близкого друга" Игоря Артимовича, выразил уверенность, что за этим стоит Сергей Михайлов, и попросил выяснить подробности. Вскоре были арестованы Дмитрий Артимович, Максим Пермяков (по версии следствия, он был посредником между владельцем Chronopay и братьями Артимовичами) и сам Врублевский. О том, что обвиняемые сказали в своих показаниях и почему потом от них отказались, читайте в следующем материале

Комментариев нет:

Отправить комментарий